XMPP
XMPP (aka Jabber) è un protocollo di chat federato: questo significa che se hai un account registrato su un determinato server potrai comunque parlare con gli utenti dell'intera rete XMPP, perché i server si parlano fra loro. Puoi entrare in contatto con chiunque semplicemente aggiungendo alla tua rubrica il suo Jabber ID, analogamente a come faresti con un numero di telefono o un indirizzo email.
XMPP fornisce sia chat private che di gruppo (dette anche "stanze", "chatroom", "conference" o "MUC" (Multi-User Chat); queste ultime possono essere pubbliche (mostrate nell'elenco delle MUC disponibili sul server) o private (bisogna conoscere il JID della stanza per poter entrare), protette o meno da password, cifrate o in chiaro, e così via... Molti client offrono una rubrica per i contatti.
Inoltre il protocollo XMPP è molto estensibile, e ciò permette di scambiare file e immagini attraverso la chat, di stabilire comunicazioni criptate sia singole che di gruppo, e molto altro ancora.
Esistono molti programmi per usare XMPP (client) per diverse piattaforme: qui trovi una lista di client per Linux, Windows, OSX, iOS (iPhone), Android, Nokia Symbian e perfino da browser e da console. In questa pagina troverete le istruzioni e guide per alcuni client che abbiamo provato, tra cui Gajim (PC) e Conversations (Android).
HEY! Se vuoi replicare l'esperienza di tirar su un servizio di chat autogestito abbiamo messo qui i file di configurazione per il server e il codice per la pagina di registrazione, mentre qui trovi tutta la documentazione!
Il nostro servizio XMPP
Abbiamo installato Prosody sopra Zenzero. Il server che abbiamo installato ha però due restrizioni importanti:
- I client possono connettersi solo se supportano la cifratura SSL della connessione fra client e server;
- I server (per la federazione) possono connettersi solo se supportano la cifratura della connessione fra server e server.
Abbiamo scelto di inserire queste limitazioni perché siamo fermamente convintu che le comunicazioni debbano avvenire in modalità protetta: crediamo che ognunu debba poter scegliere - insieme ai propri interlocutori - il livello di sicurezza che desiderano avere, e cifrare la connessione via SSL è un passaggio minimo anche per chi non vuole usare strumenti più robusti per la sicurezza (vedi sotto).
Siccome il servizio è ancora in fase di sperimentazione non permettiamo ancora la registrazione 'in-band' (cioè direttamente dal client): se vuoi un'account scrivi a info[at]eigenlab[dot]org
oppure visita jabber.eigenlab.org.
Puoi entrare nella chatroom info@conference.eigenlab.org
per chiedere assistenza per l'installazione e la configurazione di un client XMPP, o per qualsiasi altro servizio di eigenLab, o anche semplicemente per scambiare quattro chiacchiere..
Estensioni
Abbiamo installato alcuni moduli per implementare alcune XEP, qui una lista parziale ed in aggiornamento:
- MUC XEP-0045
conference.eigenlab.org
per le chat di gruppo (chiamate anche chatroom, conferenze o stanze). - SMACKS XEP-0198 per riesumare una sessione interrotta per la caduta della connessione.
- MAM XEP-0313 per l'archiviazione dei messaggi sul server fino ad una settimana così da poterli recuperare se sì è offline per un po'. Ogni utente può scegliere la sua configurazione per questo modulo.
- Carbons XEP-0280 Per poter ricevere le conversazioni su tutti i dispositivi che supportano questa estensione. In questo modo è possibile chattare al pc e continuare poi sul telefono o sul portatile, come permettono di fare anche altri client di chat moderni.
- CSI, throttle presence e filter_chatstates. Una serie di moduli specifici per i dispositivi mobile, permettono di decidere se ricevere o meno le notifiche di presenza di un contatto o quelle tipo "il contatto sta scrivendo" quando il dispositivo è in tasca/in uno stato di basso consumo/ecc...
- HTTP File Upload XEP-0363 consente l'upload di foto e file sul server, in modo che i client si scambino solo un link e non traferiscano il contenuto del file. I file rimangono a disposizione sul server, e se la chat è cifrata con OMEMO, il loro contenuto non è leggibile se non dal destinatario (il nome del file invece è in chiaro, in modo simile a quanto accade con PGP e l'oggetto della mail). Consente l'invio di foto e file nelle MUC.
Sicurezza
Si può usare XMPP in maniera sicura utilizzando diversi protocolli di cifratura, ma non tutti sono disponibili, affidabili o funzionano bene su tutti i client.
Con OTR é quasi impossibile avere le conversazioni cifrate fra dispositivi diversi usati dallo stesso account, mentre OMEMO, un nuovo protocollo di cifratura sviluppato per Signal, permette una cifratura indolore anche fra device diversi. L'unica pecca è che non è ancora supportato da tutti i client, ma lo abbiamo testato con successo su Gajim (PC), Conversations (Android) e Chatsecure (iOS). Il supporto OTR in Gajim è disponibile con un plugin, che però è scritto male e non garantisce sicurezza. Gli stessi creatori sconsigliano di utilizzarlo.
Per poter usare OMEMO in Gajim va installato un plugin dal gestore di pacchetti di sistema, perchè per motivi oscuri il plugin manager non riesce ad installarlo. Alla prima connessione con un contatto che supporta OMEMO verrà richiesto se fidarsi della chiave con cui si è presentato: è buona norma verificare la chiave attraverso un mezzo diverso. Conversations lo supporta di default, anche qui bisogna verificare la chiave del contatto.
Per poter ricevere i messaggi sia su Gajim che su Conversations usando OMEMO bisogna fidarsi delle proprie chiavi su entrambi i device.
Gajim
Gajim è il più completo client desktop per numero di plugin e di XEP recenti supportate; è disponibile per i maggiori sistemi PC, per Windows, BSD e Linux, pel quale si trova nei repository ufficiali dei pacchetti di tutte le maggiori distribuzioni. Molte persone continuano a contribuire allo sviluppo di Gajim; se vuoi contribuire puoi iniziare a leggere la wiki o la pagina per lo sviluppo
Installazione
Arch
Bisogna avere l'AUR abilitato e installare i pacchetti con yaourt -S gajim gajim-plugin-omemo gajim-plugin-httpupload python2-qrcode python2-future
.
Su alcuni laptop Gajim si inchioda all'uscita dal programma e questo problema sembra risolversi installando il pacchetto python2-dbus
.
Debian
Bisogna abilitare jessie-backports: apri sudo nano /etc/apt/sources.list
e aggiungi al file la riga:
deb http://ftp.debian.org/debian jessie-backports main
Poi salvarlo e chiuderlo. Dare i comandi
sudo aptitude update sudo aptitude -t jessie-backports install gajim-omemo gajim
Configurazione
Account
Aprendo Gajim per la prima volta devi configurare il tuo account dal menu Modifica → account
.
C'è sempre un account 'Local' ma non so a cosa serva. Tu aggiungi un nuovo account e metti l'ID Jabber seguito da @eigenlab.org
e la password dell'utenza che ti sei fatta creare.
Per cambiare la propria password, dal menu Account -> Operazioni amministrative → cambia la password
.
Per ricevere i messaggi su tutti i dispositivi connessi allo stesso account bisogna selezionare Account → Generale → Receive conversations from other resources
.
Se sei non in linea o desincronizzatu, oppure hai sbagliato ad inserire la password, puoi riconnetterti selezionando "diponibile" tra gli stati in basso. Capita però che gajim dica di essere desincronizzato anche se in realtà non lo è: se vedi almeno un contatto in linea non preoccuparti, puoi ignorarlo.
Contatti
Ora ti resta solo da aggiungere in rubrica le persone con cui chattare: dal menu Azioni → aggiungi un contatto
inserisci l'ID Jabber del tuo amico (ad es. pippo@eigenlab.org
) per "chiedergli l'amicizia" e quando anche lui te l'avrà accordata potrete chattare.
Se trascini un contatto sopra un altro compare l'utilissima opzione "invia contatto di Beppe a Anna". C'è anche un'altra opzione "rendi Beppe e Anna metacontatti", che serve per annidare diversi account usati dallo stesso utente sotto un'etichetta comune; se fai per sbaglio un metacontatto e vuoi annullare l'operazione, trascina il contatto più annidato sulla linea di un gruppo nella rubrica (ad esempio "Generale").
Se capita di risultare offline ad un contatto, oppure di vedere offline chi in realtà è online, bisogna cliccare con il tasto destro sul contatto nell'elenco dei contatti, e in Gestisci il contatto → Abbonamento
clicca su Permetti al contatto di vedere il mio stato
e Chiedi al contatto di poter vedere il suo stato
. Permettersi mutuamente di vedere lo stato è anche un prerequisito per usare OMEMO con Gajim.
Gruppi
Puoi vedere un elenco dei gruppi (pubblicamente accessibili) presenti sul server dal menu Azioni → Ricerca dei servizi → eigenLab chatroom → Consulta
e selezionare quelli in cui vuoi entrare.
Nella finestra che apparirà conviene selezionare "Aggiungi questa stanza ai segnalibri", che rende accessibile la stanza dal menu Azioni → Entra in una conversazione di gruppo
.
Selezionando "Entra automaticamente in questa stanza alla connessione", Gajim entrerà nella stanza al momento del login.
Per non vedere i cambiamenti di stato di tutti i contatti nella stanza: Azioni → Entra in una conversazione di gruppo → Gestisci i segnalibri → Stampa lo stato: "nessuno"
.
Chiamate e videochiamate
Per abilitare il supporto alle audio e videochiamate audio (supportato da Gajim, Pidgin e Telepathy) bisogna installare dei pacchetti aggiuntivi. In Arch installare il pacchetto farstream
, mentre in Debian e derivate python-farstream
e gstreamer-plugins-bad
.
Plugin
I nuovi plugin si installano dal menu Modifica → Plugin → Available
.
Dopo aver selezionato i plugin che vuoi installare clicca su install/upgrade, e poi abilitali nella scheda "installed".
Di seguito alcuni plugin particolarmente utili:
- Httpupload: Aggiunge il supporto ad HTTP File Upload. Nella finestra di chat compariranno due nuovi pulsanti, "send file via http" e "send image via http". Il vecchio trasferimento da client a client è ancora disponibile con il pulsante "invia dei file".
- Url image preview: Visualizza le immagini direttamente nella finestra di chat anzichè chiedere dove salvarle o mostrare un link. Di default mostra immagini piccole solo per file piccoli. Valori ragionevoli nella configurazioni in
Modifica → Plugin → Url image preview → Configura
sono preview size:500 , accept files smaller than: 10mb. Cliccando con il tasto destro sull'immagine si può aprirla, salvarla o copiare il link originale. - Client icons: Mostra una icona che rapresenta il client usato nell'elenco dei contatti.
- Emoticons pack: Aggiunge un enorme set di emoticon che sostituiscono quelle di default di gajim. Sono compatibili con le emoticon android anche se appariranno leggermente diverse su android. Per abilitarlo, nella finestra
Modifica → plugin → emoticon
, installa Twemoji resized. Sembrerà che non sia successo nulla, ma non ti preouccare, vai inPreferenze → emoticon
e seleziona Twemoji resized.
Riavviare sempre Gajim dopo aver abilitato o aggiornato i plugin.
OMEMO
Dopo aver abilitato il plugin OMEMO, Gajim si impallerà qualche secondo per generare le chiavi: non impanicatevi, è normale. Quando avrà finito sarete a un passo dal chattare in sicurezza.
Nella finestra di chat, se il client del contatto lo supporta, appare l'icona con il pesce da cui si può abilitare OMEMO nella chat. Cliccando "fingerprints" si possono verificare le fingerprint del contatto.
Nella finestra "own devices" ci sono invece le fingerprint dei propri dispositivi, ad es. una per Conversations sullo smartphone e una per Gajim sul pc. È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione.
È possibile visualizzare la propria fingerprint da Modifica → Plugin → Url image preview → Configura → Account: eigenlab.org
dove è presente anche il QR-code che puoi usare per farti verificare velocemente da chi ha uno smartphone.
Per visualizzare il QR-code, se si è installato il plugin OMEMO da Gajim, è necessario installare dei pacchetti. Il programma indica solo "python-qrcode". Su Arch, per avere garanzia di funzionamento, non bisogna installare questo pacchetto ma tutte le dependencies python2-* dalla pagina di gajim-plugin-omemo. Questi pacchetti sono disponibili solo dalla AUR.
Problemi
Gajim sembra non supportare completamente Message Archiving per le MUC bug tracker: mostra solo gli ultimi 20 messaggi invece di mostrare tutti i messaggi scambiati nella MUC e non ricevuti perchè si era offline. Conversations invece riceve tutti i messaggi in modo corretto.
Conversations
Il migliore client per Android per numero di XEP integrate, ed è anche piacevole alla vista. Puoi installarlo con F-droid; c'è anche nel PlayStore, ma a pagamento.
Account
Per aggiungere un account devi andare in Menu → Gestisci utenti
: qui troverai un tastino con un omino stilizzato e un più . Cliccaci e otterrai una schermata che ti chiede jabberID e password, inseriscili e sei prontu a chattare!
Dal menu "Gestisci utenti" puoi fare una serie di altre opreazioni utili che riguardano il tuo account, come
- Cambiare la propria password:
Menu → Gestisci utenti → <tuo utente> → Menu → Cambia password
- Impostare un avatar:
Menu → Gestisci utenti → <tuo utente>
e poi clicca sull'avatar.
Contatti, chat e gruppi
La prima schermata mostra l'elenco delle chat aperte, cliccaci sopra per aprirle, una volta dentro striscia a destra o sinistra per chiuderle.
Se dovessi farlo per errore non preoccuparti: non hai eliminato il contatto e puoi riaprire la chat nell'elenco dei contatti.
Aggiungere contatti ed entrare nei gruppi
In alto a destra c'è una icona con un grosso "più": Cliccandoci troverai l'elenco dei contatti e delle MUC; in alto a destra ci sono, nelle rispettive schede, i tasti per aggiungere contatti e MUC .
Random settings
Conversations di default non mostra se i contatti sono online o meno, ma si può in parte porre rimedio nelle impostazioni:
- il pulsante "invio indica lo stato" colora il pulsante nella chat a seconda dello stato del contatto[1],
- "mostra tag dinamici" mostra queste informazioni nell'elenco dei contatti, e selezionando
Menu → Nascondi i contatti offline
saranno visibili solo i contatti online.
In una chat di gruppo, cliccando su "Dettagli conferenza" è possibile visualizzare l'elenco degli iscritti.
OMEMO
Alla prima conversazione con un client che supporta OMEMO chiederà di abilitare la chiave del contatto per poter iniziare a chattare.
È buona norma verificare questa fingerprint tramite altro mezzo, tuttavia Conversations considera una chiave abilitata come "non verificata" (perchè non si fida del fatto che gli utenti verificano davvero quella chiave prima di abilitarla) e mostra un lucchetto rosso nella conversazione. La verifica avviene tramite la scansione di un QR code in cui è contenuta la chiave dell'amico.
Verifica delle chiavi
Per verificare la chiave si può cliccare sull'avatar nella chat oppure andare in Menu → Dettagli del contatto
, tenere premuto sulla fingerprint omemo e selezionare Scan 2D Barcode
. A questo punto si aprirà l'app per fotografare il QR.[2]
Per visualizzare il QR della propria fingerprint clicca sul tuo avatar oppure vai in Menu → Gestisci utenti → <tuo utente>
e poi Menu → Show 2D Barcode
Nella stessa pagina è possibile visualizzare la propria fingerprint OMEMO in forma esadecimale, e più in basso, sotto "Altri dispositivi", sono presenti le fingerprint dei propri dispositivi, es. pc con Gajim.
È necessario verificare anche quelle per essere sicuri della riservatezza della conversazione. Allo stesso modo della verifica della fingerprint di un contatto, tenendo premuto apparirà Scan 2D Barcode
.
Integrazione in Sailfish OS
Sailfish ha una whitelist di applicazioni che possono mostrare notifiche di sistema. Alla versione attuale (2.0.5 Haapajoki) Conversations non è in questa lista, quindi non mostrerà notifiche, nè vibrazione o led.
Per risolvere si può installare Android apps notifications da Warehouse e poi abilitare Conversations nel nuovo menù in Settings, oppure modificare da root il file /usr/share/lipstick/androidnotificationpriorities
e aggiungere le righe:
Conversations;chat,chat_exists package:eu.siacs.conversations;chat,chat_exists
È necessario riavviare Home Screen affinchè le modifiche abbiano effetto.
La tastiera di sistema non ha il supporto alle emoji, e Dolphin keyboard non sembra funzionare bene con Conversation. Per avere le emoticon si può installare una tastiera android da F-droid (ad esempio AnySoftKeyboard) e poi abilitare la nuova tastiera in Settings dopo aver installato Aliendalvik Control da Warehouse.
Per rimanere sempre online e ricevere notifiche anche dopo aver chiuso la finestra di Conversation (in modo simile a quanto succede in android), bisogna consentire all'applicazione di eseguire servizi in backgroud all'avvio, in Impostazioni → Applicazioni → Conversations
e poi selezionare "Mantieni il servizio in primo piano" nelle impostazioni avanzate di Conversations.
Altri Client
ChatSecure
Per iOS (iPhone) esiste ChatSecure, che supporta la cifratura con OMEMO.
Telepathy
Integrato in KDE, mancano alcune opzioni per la configurazione, supporta OTR ma non le carbon copy ed il message archiving.
Pidgin
Pidgin è un client la cui comunità di sviluppo è molto partecipata, e che oltre a XMPP supporta i protocolli AIM, Bonjour, Gadu-Gadu, Google Talk, ICQ, IRC, SILC, SIMPLE, Zephyr, e molti altri ancora insieme a una vasta gamma di plugin.
Supporta OMEMO attraverso il plugin SPERIMENTALE Lurch
Profanity
Profanity è un client testuale, gira da console con un'interfaccia ncurses ed assomiglia molto al client irssi per IRC. Su Arch Linux è presente in due pacchetti alternativi profanity
e profanity-gtk
: il secondo offre solo le notifiche desktop tramite le librerie gtk, e non un'interfaccia grafica (ovviamente).
Dino
Dino è un client XMPP OpenSource moderno scritto in GTK3 e Vala, è in fase alpha e quindi non considerabile affidabile ma supporta già OMEMO nelle chat 1:1 e le chatroom insieme ad diverse XEPP consultabili qui. Lo sviluppo avanza velocemente
Nonostante il suo stadio è già abbastanza usabile
Generare un QR Code con le fingerprint per ogni device
Alcuni software, per esempio Conversations, non permettono di verificare completamente un contatto se non scansionando la fingerprint attraverso un QR Code o cliccando su un link xmpp.
Non tutti i client però supportano la generazione di un QR da poter scansionare.
Per ovviare a questo limite di seguito una procedura per generare un QR Code che contenga tutte le fingerprint collegate ad una chiave OMEMO.
I passaggi sono molto Linux specifici
Requisiti:
- Un terminale
- sqlite (CLI) o sqlitebrowser (GUI) Per Dino
- qrencode (CLI) o qualsiasi programma per generare un qrcode
Il QR Code al momento della scrittura contiene la seguente stringa:
xmpp:<USER>@<HOST>?otr-fingerprint=<OTR_FINGERPRINT>;omemo-sid-<DEVICE_ID>=<OMEMO_FINGERPRINT>;omemo-sid-<OTHER_DEVICE_ID>=<OTHER_OMEMO_FINGERPRINT>;omemo-sid-<OTHER_DEVICE_ID>=<OTHER_OMEMO_FINGERPRINT>
dove:
- <OTR_FINGERPRINT> è la fingerprint della chiave OTR ottenibile dalle informazioni account dei vari client che lo supportano
- <DEVICE_ID> è il device ID, unico per ogni dispositivo o software
- <OMEMO_FINGERPRINT> è la fingerprint della chiave OMEMO
A seconda del client il metodo per recuperare le informazioni cambia:
Dino
Con il comando
sqlite3 ~/.local/share/dino/omemo.db 'select device_id from identity'
Dato da un terminale verranno mostrati tutti gli ID dei devices usati attraverso Dino sul PC Altrimenti con sqlitebrowser basta aprire il file ~/.local/share/dino/omemo.db e navigare nella tabella identity cercando la colonna device_id
Dalla finestra account a partire dal commit `9840774a87b9d15523ecc04ee4c157270e9abfe5` è possibile vedere e copiare la propria fingerprint così come quella degli altri dispositivi noti.
Pidgin
Pidgin supporta OMEMO sperimentalmente attraverso il plugin Lurch, per ottenere il device id basterà digitare in una finestra di chat il comando /lurch show id own
, mentre per la fingerprint /lurch show fp own
.
Gajim
Dal menu di impostazioni del plugin OMEMO è possibile vedere gli ID dei propri dispositivi e le proprie fingerprint.
A questo punto è possibile generare il QR Code con le fingerprint con il comando
qrencode "xmpp:<USER>@<HOST>?otr-fingerprint=<OTR_FINGERPRINT>;omemo-sid-<DEVICE_ID>=<OMEMO_FINGERPRINT>;omemo-sid-<OTHER_DEVICE_ID>=<OTHER_OMEMO_FINGERPRINT>;omemo-sid-<OTHER_DEVICE_ID>=<OTHER_OMEMO_FINGERPRINT>" -o ~/fingerprints.png
. Il file sarà salvato nella home dell'utente col nome "fingerprints.png".
È adesso possibile scansionare il QR con Conversations in modo da avere tutte le proprie fingerprint verificate ed autenticate. Da ora in poi basterà mostrare il QR di conversations che conterrà tutte le fingerprint
Altre risorse
- pagina su riseup che raccoglie qualche considerazione tecnica e discussioni varie.
- video completo con la presentazione, spiegazione e discussione del servizio (31 Marzo 2017 a Exploit, post sul sito).
- scorciatoie da tastiera per Gajim.
Note
- ↑ verde=disponibile, rosso=occupato, arancione=assente, grigio=offline.
- ↑ I dispositivi con una fotocamera vecchia e scarsa potrebbero non riuscire a mettere a fuoco un QR su un piccolo schermo, in quel caso si può inquadrare il QR zoommato sullo schermo di un computer oppure stamparlo su un foglio. Per aiutare la messa a fuoco può essere anche utile mettersi un po' a giocare con la luminosità dello schermo.